¿Qué es el Cyber Kill Chain?
Explicación de las siete fases de la metodología Cyber Kill Chain desarrollada por Lockheed Martin y recomendaciones de defensa en profundidad.
Como profesionales de ciberseguridad es vital poder comprender cómo funciona el ciclo de los ciberataques. Son más que ataques al azar, es un método aplicado basado en una estructura creada y modelada para ser efectiva, por lo cual es vital, que usted entienda de qué es lo que estamos hablando en este simple whitepaper, debe conocer los aspectos fundamentos de esta temática y cómo puede obtener medidas y contramedidas para mejorar su seguridad, ya que con los últimos ataques solo conocidos entendemos que los atacantes tienen métodos aún más sofisticados que sus blancos de ataque y eso es un análisis que no necesita de grandes especiales, basta con ver los últimos databreach o simplemente leer internet con la palabra ciberataque.
Ciber Kill Chain, como término se usó originalmente como un concepto militar relacionado con la estructura de un ataque, que consiste en la identificación del objetivo, forzar el envío al objetivo, la decisión y el orden de atacar al objetivo, y finalmente la destrucción del objetivo. Desde Wikipedia: La cadena cyber kill fue (desarrollada por Lockheed Martin) es una metodología aceptada por la industria para comprender cómo un atacante llevará a cabo las actividades necesarias para causar daño a su organización. Una comprensión efectiva de la cadena de ciberataques ayudará en gran medida al profesional de la seguridad de la información a establecer controles y contramedidas sólidos, que servirán para proteger los activos de su organización.
Las siete fases de la Kill Chain son:
- Reconocimiento: aprender sobre el objetivo utilizando diversas técnicas.
- Creación del arma: adecuación del código malicioso o malware al medio sobre el que se buscará la infección.
- Entrega: transmitir el código malware a través de algún medio (correo, sitio web, apps, USB, etc.).
- Explotación: aprovechar alguna vulnerabilidad en el software o error humano para ejecutar el software malicioso.
- Instalación: el software malicioso se asegura de poder ejecutarse de forma permanente en el equipo infectado.
- Comando & Control (C2): el malware se comunica con su central, proporcionando a los atacantes control remoto.
- Acciones sobre los objetivos: se procede al robo o a la ejecución de lo que se plantea hacer, tal como si el atacante estuviera sentado frente a la pantalla, teclado y mouse del equipo infectado.
Recomendaciones
Recomendaciones de defensa en profundidad:
Se recomienda que una organización implemente una estrategia de defensa en profundidad que sirva para proteger a las personas, el proceso y la tecnología de la organización de manera holística y por capas. Algunas áreas de defensa en profundidad incluyen:
- Implementación de un programa de seguridad de la información en toda la empresa con el respaldo y la autoridad del liderazgo.
- Capacitación y conocimiento efectivos de los usuarios relacionados con las amenazas transmitidas por correo electrónico (phishing)
- Fuertes prácticas de higiene cibernética en toda la organización.
Fuentes
- https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html#
- https://en.wikipedia.org/wiki/Kill_chain
- https://www.forbes.com/sites/forbestechcouncil/2018/10/05/the-cyber-kill-chain-explained/
- https://www.webopedia.com/TERM/C/cyber-kill-chain.html
- https://www.csoonline.com/article/2134037/cyber-attacks-espionage/strategic-planning-erm-the-practicality-of-the-cyber-kill-chain-approach-to-security.html